1. ComputersPCsSecurityCalifornia Consumer Privacy Act (CCPA) For Dummies

California Consumer Privacy Act (CCPA) trer i kraft 1. januar 2020. Er bedriften din klar for CCPA-overholdelse?

Mange virksomheter har brukt de siste 18 til 24 månedene på å jobbe med sine data governance og personvernprogrammer for å overholde EUs generelle databeskyttelsesforordning (GDPR), som trådte i kraft i mai 2018. Hvis du er en av disse virksomhetene, mye av arbeidet du allerede har gjort for å oppnå GDPR-samsvar vil hjelpe deg med CCPA-loven, men det er noen viktige forskjeller - som jeg forklarer i denne artikkelen.

Hva er CCPA?

California Consumer Privacy Act (CCPA) definerer personlig informasjon som "informasjon som identifiserer, forholder seg til, beskriver, er i stand til å bli assosiert med, eller med rimelighet kan kobles direkte eller indirekte til en bestemt forbruker eller husholdning." Denne definisjonen er bredere enn GDPRs definisjon av personlig informasjon, som er begrenset til informasjon relatert til "identifiserte eller identifiserbare levende personer."

California Consumer Privacy Act (CCPA)

Fra nå av har CCPA-krav ikke blitt ferdigstilt og vil sannsynligvis bli endret før den endelige versjonen blir vedtatt. Gå til det offisielle CCPA-nettstedet som ligger på https://oag.ca.gov/privacy/ccpa for å lese de siste oppdateringene til CCPA-loven.

Gjelder CCPA for selskapet mitt?

CCPA gjelder for all kommersiell virksomhet (og enhver enhet som kontrollerer eller kontrolleres av en virksomhet og deler vanlig merkevarebygging - for eksempel et delt navn, servicemark eller varemerke - med virksomheten) som driver virksomhet i staten California og møter en eller flere av følgende terskler:

* Har årlige bruttoinntekter på over $ 25 millioner

* Kjøper, mottar, selger eller deler personlig informasjon til kommersielle formål for 50 000 eller flere forbrukere, husholdninger eller enheter årlig

* Mottar halvparten eller mer av sine årlige inntekter fra å selge forbrukeres personopplysninger

Retningslinjer for CCPA-samsvar

Hvis du spør, er vi GDPR-kompatible, betyr det da at vi også er CCPA-kompatible? I likhet med GDPR, som definerer spesifikke rettigheter for registrerte, definerer CCPA spesifikke rettigheter for forbrukere i California, inkludert:

* Retten til tilgang til spesifikk personlig informasjon som er samlet om forbrukeren, men begrenset til data samlet inn de siste 12 månedene.

* Retten til å bli varslet om hvilke typer informasjon og formålene informasjonen skal brukes til før eller når informasjonen blir samlet inn. Krav til personvernregler og merknader under CCPA er mindre detaljerte enn for GDPR, men det er spesifikke krav for hvor merknader må plasseres på nettsteder og hvordan merknader skal mottas av forbrukere.

* Retten til å be om en kopi av den personlige informasjonen som er samlet inn i et bærbart og lettlesbart format. Imidlertid er virksomheter bare pålagt å gi personlig informasjon til en forbruker ikke mer enn to ganger i løpet av en 12-måneders periode.

* Retten til å bli glemt (med bredere unntak enn de som er gitt under GDPR)

* Retten til å begrense behandlingen ("bortvelgelse") av personlig informasjon underlagt noen begrensninger. Forbrukerne har rett til å velge bort avsløring eller salg av deres personlige opplysninger (med forbehold om noen begrensninger), og virksomheter må på en tydelig måte vise en fravalgslenk (og gratis telefonnummer) på deres hjemmeside. Mer forskrivende veiledning forventes på dette området, og noe eller alt av følgende er i stor grad forventet:

* Hvor og hvordan en bortvisningskobling eller -knapp må vises på et nettsted

* En obligatorisk, enhetlig fravalgslogo eller knapp som forbrukerne lett kan kjenne igjen

* En nettform som lar forbrukere velge bort noen eller alle markedsføringskampanjer (for eksempel e-postlister, lojalitetsprogrammer og så videre) fra virksomheten

I motsetning til GDPR, definerer ikke CCPA-loven (i sin nåværende form) en individuell rett til å få unøyaktige opplysninger korrigert eller til å motsette seg behandlingen av personlig informasjon.

Minimumskrav for overholdelse av CCPA

For å forberede seg på CCPA, må virksomheter ta i bruk en overholdelsesstrategi og lage en CCL-overholdelsessjekkliste som minimalt inkluderer følgende komponenter:

Identifisere. Identifiser, merk, klassifiser (eller kategoriser) og indekser den personlige informasjonen du samler inn og lagrer på alle individer (ikke bare forbrukere i California). Flere personvernforskrifter kommer - det er uunngåelig.

                         * Definer. Etablere passende policyer og prosesser for styring av data for å sikre samsvar med CCPA-krav. Forsikre deg om at du har tilstrekkelige prosedyrer på plass (og automatiserer så mye som mulig) med et CCPA-kompatibelt nettsted for å svare på de forskjellige forbrukerrettighetene som forbrukerne kan utøve i henhold til CCPA. I de fleste tilfeller har virksomheter bare 45 dager på seg til å svare på bekreftede forespørsler fra forbrukere.

                         * Beskytte. Hvis du allerede har implementert prinsippene om "personvern ved design" og "personvern som standard" og dataminimeringskravet spesifisert under GDPR, er du i gang med en god start.

           * Få til. Overholdelse er ikke en engangsaktivitet; det krever kontinuerlig ledelse for å være vellykket. Alle i bedriften din trenger å forstå hva CCPA spesifikt krever av dem i sine individuelle jobberoller. Kravene som er definert under CCPA utvikler seg fortsatt, så flid og bevissthet er avgjørende for å overholde.

For å lære mer om CCPA-implementering og CCPA-overholdelsesfristen, sjekk ut følgende ressurser:
* California statsadvokatkontor (https://oag.ca.gov/privacy/ccpa)
* Californians for forbrukernes personvern (https://caprivacy.org)
* Den internasjonale foreningen for personvernombud (https://iapp.org)